|
Bugraq ID: 37232
CVE ID:CVE-2009-4130
CNCVE ID:CNCVE-20094130
发布时间:2009-12-05 危害等级:严重 来源:天融信公司 影响系统
Mozilla Firefox 3.5.5
Mozilla Firefox 3.5.4
Mozilla Firefox 3.5.3
Mozilla Firefox 3.5.2
Mozilla Firefox 3.5.1
Mozilla Firefox 3.5
Mozilla Firefox 3.0.15
Mozilla Firefox 3.0.14
Mozilla Firefox 3.0.13
Mozilla Firefox 3.0.12
Mozilla Firefox 3.0.11
Mozilla Firefox 3.0.10
Mozilla Firefox 3.0.9
Mozilla Firefox 3.0.8
Mozilla Firefox 3.0.7 Beta
Mozilla Firefox 3.0.7
Mozilla Firefox 3.0.6
Mozilla Firefox 3.0.5
Mozilla Firefox 3.0.4
Mozilla Firefox 3.0.3
Mozilla Firefox 3.0.2
Mozilla Firefox 3.0.1
Mozilla Firefox 3.1 Beta 3
Mozilla Firefox 3.1 Beta 2
Mozilla Firefox 3.1 Beta 1
Mozilla Firefox 3.0 Beta 5
Mozilla Firefox 3.0 关于火狐浏览器 Mozilla Firefox,中文名为火狐,是由Mozilla基金会与开源团体共同开发的网页浏览器。Firefox是从Mozilla Application Suite派生出来的网页浏览器,从2005年开始,每年都被媒体PC Magazine选为年度最佳浏览器。根据Net Applications的统计,Firefox全世界的浏览器市场份额突破24%,仅次于Internet Explorer。 漏洞成因 Mozilla Firefox nsGlobalWindow.cpp源文件包含的MakeScriptDialogTitle函数负责对脚本对话框标题的处理,设计用于显示host, MakeScriptDialogTitle函数会把URL中的用户名和密码删除,目的是为了防止欺骗伪造,但是由于脚本对话框的宽度被限制和可猜测,因此如果域名足够长,那么只会显示前缀,攻击者借此可以进行URI地址伪造攻击。 目前Mozilla没有发布相关补丁,建议用户在操作敏感数据时,尽量避免使用Firefox浏览器,并及时升级漏洞补丁。
http://www.mozilla.org
漏洞消息链接
http://www.securityfocus.com/archive/1/508275
|
